Red Inalambrica

Alejandro Valdes Jimenez avaldes en utalca.cl
Vie Abr 27 08:55:21 CLT 2007 

On Thu, 2007-04-26 at 20:50 -0400, Rodrigo Fuentealba wrote:
> Debes planificar extremadamente bien entonces, como generar VPN's para
> las aplicaciones más críticas e intentar utilizar métodos mucho más
> seguros que WEP y WPA-PSK.
> 
> Considera algunas cosas que me da la experiencia mirando y metiendo
> las manos en la masa. Varias ya las dijeron, pero bueno... no recuerdo
> cuales
> 
> 1.- Filtrar por MAC no sirve... Es muy fácil saltársela. Tampoco el
> cuento de darle una IP al usuario para que se conecte. Espera a que a
> alguien se le olvide la IP a las 12 de la noche y adiós tranquilidad.

pero es válido como primera barrera... ya muchos quedan fuera solo de
esta manera, además que el mantener registrada la MAC en algún lugar
(base  de datos por ejemplo) asociada al propietario te entrega valiosa
información al momento de tener algún problema en la red.

> 
> 2.- No uses nada que tenga por detrás a MySQL... MySQL de por sí es
> fallo seguro. (Si en algo coincidimos plenamente con alvherre y no
> tiene punto de discusion, es esto).
> 
> 3.- Un Access Point muy recomendable es el CISCO. Es un parto hacerlo
> funcionar, pero una vez funcionando es bastante sólido. Por favor no
> utilices la característica PoE de éstos, dado que pierden bastante
> potencia (comprobado).

No se de que modelo hablas que sea complicado configurar, dependiendo de
si lo haces por la interfaz web o por comandos directamente, pero eso es
solo conocimiento de la IOS.
> 
> 4.- Radius es muy buena solución, sobretodo si planean tener otros
> servicios a los cuales acceder con la misma password. Sin embargo, eso
> no sirve de nada si, ejem, ejem, el username es rfuentealba y la
> password es rodrigo, o el RUT: debe ser algo más difícil de
> capturar...

Radius es una excelnete solución si quieres implementar 802.1x, que creo
yo es lo que debiera implementar en la empresa.
> 
> 5.- Considera bastantes access points, y considera tener algunos de
> repuesto. No falta el que se cae.
> 

Si por recomendar alguna solución, puedes averiguar sobre la
autenticación basada en puertos (802.1x) mas el uso de filtrado de MACs.

Si te sirver, puedes ver este docuemnto:

FreeRADIUS + WPA + EAP + TLS  (es para un AP D-Link, algo mas accesible
para el bolsillo que un CISCO, además utiliza como backend de usuario un
archivo local, sin embargo esto puede cambiarse para utilizar LDAP.)
http://www.primates.cl/public/imagenes/radius.pdf


http://www.ieee802.org/1/pages/802.1x.html


Saludos.




-- 
Alejandro Valdés Jiménez.
Area Plataforma
DTI - Dirección de Tecnologías de Información
Universidad de Talca.
Talca - Chile.
Teléfono: (56) (71) 200408

Más información sobre la lista de distribución Linux